GitHub sufrió de un ataque récord de denegación de servicio de 1.35 terabits por segundo

01/03/2018

GitHub sufrió y sobrevivió a un ataque récord de 1.35 terabits por segundo de denegación de servicio el miércoles, una avalancha de tráfico sin precedentes que pone en evidencia cuán poderosos los “ataques de amplificación" pueden ser, y un nuevo vector de ataque predecible está a punto de convertirse en algo mucho más común.

El comentario principal en la discusión de Hacker News lo dice todo: "Wow, ¿1.35 terabits por segundo? Eso es mucho para un ataque de DoS, ¿verdad?”.

Apenas inicia el 2018, pero eso podría ser la subestimación del año hasta el momento. El ataque del miércoles es el ataque de denegación de servicio más poderoso contra un solo sitio en la historia. Es significativamente más grande que el tamaño de los ataques de la botnet Mirai del 2016 que derribaron una serie de los sitios web más grandes de la Internet a través de un ataque a Dyn que se extendió a otros sitios dependientes de la infraestructura de la compañía y los servicios de DNS.

GitHub cayó varias veces durante el ataque de esta semana hasta que el tráfico se trasladó a Akamai, una empresa de computación en la nube que brindó protección contra el ataque.

Así es como el ataque se disparó un poco después del mediodía hora del este del miércoles:

La táctica se conoce como "ataque de amplificación".

Funciona así: un ciberatacante suplanta su dirección IP para que se parezca a la dirección IP de la víctima. Envían una solicitud falsificada a un servidor de memcached vulnerable - bases de datos que están destinadas a acelerar las redes, pero que últimamente son objeto de abuso debido a que muchas están expuestas inadvertidamente a la Internet pública. Ese es un problema que recibe más atención después de este ataque.

Sin darse cuenta de que lo está haciendo un ciberatacante en lugar de una máquina normal, el servidor responde a la dirección IP de la víctima. Los paquetes de respuesta son mucho más grandes que las consultas originales, por lo que un ciberatacante con capacidad de 1 gigabit por segundo puede finalmente lanzar un ataque de 100 gigabits por segundo, de ahí el nombre de “ataque de amplificación".

La botnet Mirai requirió alrededor de 100,000 máquinas infectadas para llegar a poco más de 1 terabit por segundo, mientras que este ataque parece tener menos de un décimo de ese número y lanzar un ataque más grande.

Cuando un ciberatacante realiza esto frente a miles de servidores memcached, obtienes un "memcrash" ya que los servidores ingenuos envían enormes cantidades de datos contra la víctima desprevenida.

Es un nuevo vector de ataque que se observó por primera vez esta semana, justo un día antes del ataque contra GitHub. El método fue descubierto por primera vez por los investigadores de la empresa china de seguridad cibernética Qihoo 360 en el 2017. Predijieron ver ataques de denegación de servicio que medían hasta 2 terabits por segundo.

"El ataque se originó en más de mil sistemas autónomos diferentes (ASN) en decenas de miles de endpoints únicos", escribió Sam Kottler de GitHub en "la autopsia" del jueves por la mañana. "Fue un ataque de amplificación utilizando el enfoque basado en memcached descrito anteriormente que alcanzó un máximo de 1.35 terabits por segundo a través de 126.9 millones de paquetes por segundo".

No hay grandes colecciones de computadoras esclavizadas para formar una botnet, solo una serie de solicitudes falsificadas que pueden dar como resultado enormes ataques de denegación de servicio. Aquí se explica un Cloudflare:

GitHub no era el único sufriendo ataques, según Akamai, que escribió "muchas otras organizaciones han experimentado ataques similares desde el lunes".

La mitigación de estos ataques es factible al bloquear las conexiones en el puerto 11211, el puerto predeterminado utilizado por memcached, exactamente de la misma manera que la plataforma Prolexic de Akamai fue capaz de mitigar estos ataques.

Tanto Cloudflare como Akamai predicen "más ataques potencialmente más grandes" en un futuro cercano. Ambas compañías están solicitando ayuda para descubrir quién envió el ataque masivo, así como para arreglar los protocolos vulnerables y la suplantación de IP que hacen posible el ataque.

Artículos relacionados:

Ciberdelincuentes abusan de servidores Memcached para lanzar ataques DDoS masivos

Ataques DDoS generan pérdidas de hasta 250,000 dólares por hora

Registran aumento de ataques DDoS en IoT